Участник:Petr-akhlamov/Советы ГИТам/Сервер-GUI: различия между версиями

Материал из ALT Linux Wiki
Строка 335: Строка 335:
**Вводим пароль доменного администратора
**Вводим пароль доменного администратора
**Перезагружаемся
**Перезагружаемся
====Libvirt====
См. [[Libvirt|здесь]].
{{Note|Доменный пользователь не входит в домен пока не зайдешь под локальным и не перезапустишь службу network}}
{{Note|Доменный пользователь не входит в домен пока не зайдешь под локальным и не перезапустишь службу network}}
{{Category navigation|title=Советы ГИТам|category=Советы ГИТам|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Советы ГИТам|category=Советы ГИТам|sortkey={{SUBPAGENAME}}}}

Версия от 00:22, 19 марта 2021

Сервер на предприятии

По лицензионным соображениям Альт Сервер можно использовать на предприятии только купив лицензию. Поэтому мы воспользуемся стартовым Mate набором на базе P9, чтобы был сервер с GUI.

https://mirror.yandex.ru/altlinux-starterkits/release/

alt-p9-server-systemd-20210312-x86_64.iso

Оформление

Alterator-Web

  • Ставим пакеты:
# apt-get install apache2-full alterator-fbi
  • Устанавливаем и запускаем серсисы апач и альтератор:
# service ahttpd start
# service ahttpd enable
  • Правим файл ahttpd
# pluma /etc/ahttpd/ahttpd.conf

К строчке server-port 80 добавляем строку server-port 8080.

Заходим по адресу: http://localhost:8080

Стиль-сервер

Ставим пакеты

  • branding-alt-server-*
    • alterator
    • bootloader
    • bootsplash
    • graphics
    • indexhtml

Обновляем тему grub

# update-grub

Отключение автозапуска графики

# systemctl set-default multi-user.target

Для включения обратно:

# systemctl set-default graphical.target

Запуск в tty1

# nano /etc/systemd/logind.conf
ReserveVT = 1

Запуск графики вручную

$ startx

Выход в консоль - завершение сеанса.

Настройка сети

  • через Synaptic ставим пакет etcnet-full
  • через Synaptic ставим пакеты wicd-gtk wicd
  • через Synaptic удаляем все пакеты NetworkManager

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/eth0

Правим настройки

nano options

Для DHCP:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
BOOTPROTO=dhcp

Для Static:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address
192.168.0.5/24

Правим настройки шлюза:

nano ipv4route
default via 192.168.0.15

Домены по-умолчанию и DNS-сервера:

nano resolv.conf
search mydom1.local domain2.ru
nameserver 8.8.8.8 192.168.0.5

Перезапускаем сеть:

service network restart

Правим

# nano /etc/sudoers :

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL
user ALL=(ALL:ALL)ALL

Сервера

После установки серверов перезапускаем веб-интерфейс:

# service ahttpd restart

DHCP

Примечание: Выполнять после настройки сети
# apt-get install alterator-dhcp

См. Alterator-dhcp

DNS

LDAP/Samba

или

LDAP
Установка
Примечание: Выполнять после настройки DHCP
# apt-get install alt-domain-server alterator-openldap

Останавливаем Bind:

# service bind stop
# service bind disable

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Примечание: Не редактируйте файл /etc/resolv.conf, т.к. resolvconf автоматически генерирует этот файл из конфмгураций resolv.conf интерфейсов.


Ставим Самбу:

# apt-get install samba
# service samba start
# service samba enable

Запускаем службу OpenLDAP:

# service slapd start
# service slapd enable

В Альтератор-Сеть-Ethernet интерфейсы меняем имя сервера:

dc1

Идем в веб-альтератор:

  • Колонка слева Система - Домен
  • Тип домена - ALT-домен
  • вводим имя домена, например, petr.ru
  • Применить

Перезагружаем веб-сервер:

# reboot
Добавление пользователей

Идем в веб-альтератор:

  • Колонка слева Пользователи - Пользователи
  • Выбор источника - База LDAP на этом сервере
  • Создаем пользователей
Подключение компьютера

Ставим пакеты:

apt-get install sssd-ldap sssd-krb5
  • Открываем ЦУС
  • Домен ALT Linux
  • вводим домен
  • ставим галочку "кэшировать аутентификацию при недоступности сервера"
Примечание: Все работает!


Samba
Установка

Ставим SambaDC:

# apt-get install task-samba-dc

Очищаем конфигурацию:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Вводим имя компьютера и домена:

# nano /etc/sysconfig/network
hostname dc.petr.ru
domainname petr.ru

Вводим команды:

# hostname dc.petr.ru
# domainname petr.ru

Создаем домен:

samba-tool domain provision
Realm [PETR.RU]: //жмем Enter
Domain [PETR]: //жмем Enter
Server Role (dc, member, standalone) [dc]: //жмем Enter
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: //жмем Enter
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: //тут надо выставить внешний DNS, если он не прописался по-умолчанию, чтобы домен мог разрешать внешние адреса. Например 8.8.8.8.
Administrator password: //Вводим пароль администратора
Retype password: //Повторяем пароль администратора

Запускаем службу:

service samba enable
service samba start

Перезагружаем сервер.

Копируем файл настроек krb5:

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Выполняем:

service network restart

Проверка работоспособности:

1)

# samba-tool domain info 127.0.0.1

2)

# smbclient -L localhost -U administrator

3)

host petr.ru

(адрес должен иметь адрес 127.0.0.1)
4)Проверяем имена хостов:

адрес _kerberos._udp.*адрес домена с точкой

# host -t SRV _kerberos._udp.petr.ru.
_kerberos._udp.petr.ru has SRV record 0 100 88 dc.petr.ru.

адрес _ldap._tcp.*адрес домена с точкой

# host -t SRV _ldap._tcp.petr.ru.
_ldap._tcp.petr.ru has SRV record 0 100 389 dc.petr.ru.

адрес хоста.*адрес домена с точкой

# host -t A dc.petr.ru.
dc.petr.ru has address 10.0.2.5

5)Проверяем Kerberos

# kinit administrator

Password for administrator@PETR.RU: Warning: Your password will expire in 41 days on Чт 29 апр 2021 18:25:49

6)Просмотр полученного билета:

# klist
Управление пользователями

Создать пользователя с паролем[1], :

samba-tool user create <имя пользователя>
samba-tool user setexpiry <имя пользователя>

Например,

samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@stand.alt'

Просмотреть доступных пользователей:

samba-tool user list

Удалить пользователя:

samba-tool user delete <имя пользователя>

Отключить пользователя:

samba-tool user disable <имя пользователя>

Включить пользователя:

samba-tool user enable <имя пользователя>

Изменить пароль пользователя:

samba-tool user setpassword <имя пользователя>

Не забудьте разблокировать пользователя:

samba-tool user setexpiry <имя пользователя> --noexpiry
Внимание! Не допускайте одинаковых имён для пользователя и компьютера, это может привести к коллизиям (например, такого пользователя нельзя добавить в группу). [2]


Если компьютер с таким именем заведён, удалить его можно командой:

pdbedit -x -m <имя>
Подключение компьютера

Ставим пакет:

apt-get install task-auth-ad-sssd
  • через Synaptic ставим пакет etcnet-full
  • через Synaptic ставим пакет wicd-gtk
  • через Synaptic удаляем все пакеты NetworkManager

Настраиваем сеть:

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/eth0

Правим настройки

nano options
BOOTPROTO=static
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address
10.0.2.10/24

Правим настройки шлюза:

nano ipv4route
default via 10.0.2.1

Домены по-умолчанию и DNS-сервера:

nano resolv.conf
search petr.ru
nameserver 10.0.2.5 //адрес Samba-сервера

Перезапускаем сеть:

service network restart

Правим:

# nano /etc/sudoers

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL
user ALL=(ALL:ALL)ALL

Синхронизируем время:

net time set -S petr.ru
  • ЦУС-Пользователи-Аутентификация
    • Домен AD:
    • домен petr.ru
    • рабочая группа: PETR
    • имя компьютера: вводим свое
    • Вводим пароль доменного администратора
    • Перезагружаемся

Libvirt

См. здесь.


Примечание: Доменный пользователь не входит в домен пока не зайдешь под локальным и не перезапустишь службу network